인터넷 검색 및 웹 사이트 접속시 광고창을 생성하는 "인터넷 검색주소 및 검색 편의와 한국새생명복지재단 불우 이웃돕기모금 서비스 컨트롤" 이름으로 설치되는 "Network_guide" 검색 도우미 프로그램<SHA-1 : 3e547ef4fc260561f049e93865b209e8077290e0 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C430856 (VT : 9/55)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존에 유사한 기능을 가진 다양한 변종이 존재하였으므로 참고하시기 바랍니다.
C:\ProgramData\Network_guide
C:\ProgramData\Network_guide\Network_guide.exe :: 시작 프로그램(Network_guide) 등록 파일, 메모리 상주 프로세스, 프로그램 삭제 파일
C:\ProgramData\Network_guide\Network_guides.exe :: 서비스(Network_guides) 등록 파일, 메모리 상주 프로세스
C:\ProgramData\Network_guide\Network_guide.exe
- SHA-1 : 360ce8d286bc87f2e87c1abd01d2bd39b018c174
- BitDefender : Gen:Variant.Application.Jaik.1163 (VT : 11/53)
검색닷컴 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\Network_guide" 폴더에 파일을 생성합니다.
"Network_guides (표시 이름 : Network_guides)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\Network_guide\Network_guides.exe" 파일(SHA-1 : 33995e391499b3ba0bc430b62206ee2c4913651f)을 자동 실행하여 메모리에 상주시킵니다.
- h**p://direct***word.co.kr/update/Network_guide.exe
자동 실행된 서비스 파일(Network_guides.exe)은 특정 서버에서 Network_guide 프로그램의 광고 기능을 수행하는 "C:\ProgramData\Network_guide\Network_guide.exe" 파일 체크하여 다운로드 기능을 수행할 수 있으며, 테스트 당시에는 서버에 파일이 등록되어 있지 않는 상태(404 Not Found)입니다.
또한 Windows 시작시 "C:\ProgramData\Network_guide\Network_guide.exe" 파일을 시작 프로그램(Network_guide)으로 등록하여 자동 실행 및 메모리에 상주하도록 구성되어 있습니다.
- h**p://www.direct***word.co.kr/update/Windowmodus_1311270.zip (SHA-1 : bdea4900092a0049051146cf39761cd006d13ee1) - AhnLab V3 365 Clinic : PUP/Win32.Windowmodus.R107400 (VT : 27/54)
실행된 파일(Network_guide.exe)은 업데이트 서버에서 Window modus 검색 도우미 프로그램의 업데이트 파일을 특정 조건을 만족시킬 경우 추가 다운로드 및 실행할 수 있을 것으로 추정됩니다.
Network_guide 광고 프로그램이 설치된 환경에서 인터넷 검색, 웹 사이트 접속, 웹 브라우저 창 종료시 다양한 광고창을 자동으로 생성할 수 있습니다.
(a) 광고 기능 중지 및 프로그램 삭제를 위해서는 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Network_guides"] 명령어를 입력 및 실행하여 메모리에 상주하는 Network_guides.exe 프로세스를 자동 종료하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 Network_guide.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 제어판에 등록된 "Network_guide" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.
HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\Network_guide
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Network_guide = "C:\ProgramData\Network_guide\Network_guide.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
Network_guide
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{FD532C54-FC82-4C97-9E7C-FB4397203A44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Network_ModusService.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2402B2ED-0F0A-4E5F-89A2-8BD09140352C}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Network_guides
"Network_guide" 광고 프로그램 이름으로는 광고 기능을 수행하는 것으로 사용자가 판단하기 매우 어려우며, 웹 브라우저를 이용한 인터넷 이용시 생성되는 광고창으로 불편함을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.